Microsoft heeft naar Google uitgehaald wegens het opnieuw publiceren van een lek in Windows 8.1 waarvoor nog geen beveiligingsupdate beschikbaar is. Via de kwetsbaarheid kan een aanvaller die al toegang tot de computer heeft zijn rechten verhogen. Het lek werd op 13 oktober aan Microsoft gerapporteerd. Aangezien de softwaregigant niet binnen 90 dagen met een patch kwam, besloot Google informatie over het lek automatisch te openbaren, tot onvrede van Microsoft. Onlangs onthulde Google ook al een soortgelijk probleem in Windows 8.1. Deze kwetsbaarheid werd op 30 september van vorig jaar aan Microsoft gerapporteerd.
Google heeft een speciaal team genaamd "Project Zero" dat naar kwetsbaarheden in allerlei software zoekt. In het geval van een lek worden de betreffende ontwikkelaars of leveranciers ingelicht en krijgen vervolgens drie maanden de tijd om het probleem op te lossen. Als er niet binnen de deadline een oplossing komt, wordt de bugmelding automatisch zichtbaar voor het publiek.
Microsoft had Google gevraagd om de details niet te openbaren, maar de zoekgigant gaf daar geen gehoor aan. "We hebben Google specifiek gevraagd om met ons samen te werken om klanten te beschermen door de details pas na 13 januari te openbaren, als we een update uitbrengen", zegt Chris Betz van Microsofts Trustworthy Computing. Hij heeft het gevoel dat het hier niet om principes gaat maar eerder een manier van Google om Microsoft te pakken te nemen, waarbij gebruikers mogelijk de gevolgen moeten dragen. "Wat goed is voor Google is niet altijd goed voor klanten. We vragen Google om de bescherming van gebruikers ons gezamenlijke doel te maken."
Volgens de softwaregigant is het belangrijk om kwetsbaarheden eerst aan een leverancier of ontwikkelaar te melden, zodat die de tijd krijgt een update te ontwikkelen. Tegenstanders zeggen dat lekken hierdoor niet tijdig worden gedicht, omdat leveranciers en ontwikkelaars daardoor teveel tijd voor een update nemen. In het geval van "full disclosure", waarbij de kwetsbaarheden direct openbaar worden gemaakt, zou er veel meer druk op een leverancier staan om actie te ondernemen en met een update te komen. Ook zouden gebruikers in afwachting op een update maatregelen kunnen nemen en zo toch beschermd zijn.
Betz laat echter weten dat de meeste gebruikers zelfs in het geval van full disclosure wachten op een update van de leverancier. Uit cijfers van Microsoft zou blijken dat lekken die gecoördineerd worden verholpen veel minder aanvallen krijgen te verduren voordat er een patch beschikbaar is, dan in het geval van full disclosure, waarbij cybercriminelen direct tot het aanvallen van gebruikers kunnen overgaan.
Betz erkent dat sommige leveranciers slecht op bugmeldingen reageren, maar dat het beschermen van klanten de prioriteit moet hebben. "Geen enkele software is perfect. Het wordt tenslotte allemaal door mensen gemaakt. Microsoft heeft een verantwoordelijkheid om in het belang van onze klanten te werken en beveiligingsproblemen snel op te lossen", gaat Betz verder. Volgens de Microsoftmedewerker is de kritiek op Google geen manier om de eigen verantwoordelijkheid te ontlopen. "Het is onze taak om de best mogelijke software te bouwen en zo goed mogelijk te beschermen."
Deze posting is gelocked. Reageren is niet meer mogelijk.